セキュリティニュースアラート:
Cloudflareが最新の脅威インテリジェンス機能を無償で提供 対象製品・機能は?
Cloudflareは全てのユーザーに対して無償で提供する脅威インテリジェンスおよびセキュリティ機能を発表した。ユーザーはSASEソリューションやWebセキュリティ機能などを活用できる。(2024/9/26)
週末の「気になるニュース」一気読み!:
Intel製CPUに脆弱性 最大深刻度は「High」/家族間のゲーム共有を手軽に行える新機能「Steamファミリー」登場
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、9月8日週を中心に公開された主なニュースを一気にチェックしましょう!(2024/9/15)
週末の「気になるニュース」一気読み!:
Appleがオープンソースの画像生成AIモデル「MDM」をGitHubで公開/Windowsに深刻な脆弱性 ゼロクリック攻撃で
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、8月11日週を中心に公開された主なニュースを一気にチェックしましょう!(2024/8/18)
生成AIチャットサービスからの機密情報漏えいリスクにも対応:
Web分離から“セキュアエンタープライズブラウザ”へ――メンロが示す脱VDIの道筋とは
メンロ・セキュリティ・ジャパンが2024年6月26日に記者発表会を開催。「クラウド型セキュアエンタープライズブラウザ」についてMenlo Securityのアミール・ベン・エフレイム氏などが説明した。(2024/8/15)
Google Cloudチートシート(4):
Google Cloudの発見的統制機能で設定ミスや不審な活動を早期発見
Google Cloud利用のコツを紹介する本連載。今回はGoogle Cloudの発見的統制機能を使った脆弱性の早期発見について、具体的に説明します。(2024/8/9)
「セキュリティ研究者やペネトレーションテスターが罰せられる可能性もある」と警告:
Google、国連サイバー犯罪条約は「サイバーセキュリティの取り組みを脅かす」と主張
Googleは、国連加盟国が締結に向けて議論している「国連サイバー犯罪条約」について、サイバーセキュリティを脅かす可能性があると公式ブログで主張した。サイバーセキュリティ研究者やジャーナリストなどが罰せられる可能性があるとしている。(2024/2/20)
激変したIT環境、変わらない学びへの熱意:
20年目を迎えたセキュリティ・キャンプ、輩出された人材に見るその価値
2004年からセキュリティ人材の発掘、育成を目的に継続してきた「セキュリティ・キャンプ」。コロナ禍でオンライン/ハイブリッド開催を余儀なくされた時も工夫しながら継続し、ついに20年目を迎えた。2023年は久しぶりにオフラインの講義が主体となり、受講生や講師が4泊5日の期間中、顔を突き合わせ、密にコミュニケーションをとれる場が復活した。(2024/1/18)
「見えないWeb攻撃」──情報漏えい対策の盲点:
「APIエコノミー」に迫る“検知できない脆弱性攻撃”の脅威
APIが個人情報や機密情報の窃取や、アカウントの乗っ取りなどサイバー攻撃の格好の標的になっている。その傾向や対策、落とし穴をAkamai Technologiesの中西一博氏が解説。(2024/1/11)
セキュリティ専門家、徳丸浩氏が考える「2024年の脅威予測」 生成AIの影響は
大規模な内部不正やランサムウェア攻撃など、さまざまなセキュリティインシデントが起きた2023年。2024年、サイバー攻撃はどのように変わるのか、セキュリティ専門家の徳丸浩氏が12月14日のメディア向け勉強会で考えを示した。(2023/12/14)
「見えないWeb攻撃」──情報漏えい対策の盲点:
“サイバー兵器”と化すDDoSやWeb攻撃 背景にはウクライナ・東アジア情勢などの緊張
ロシアのウクライナ侵攻や徐々に緊迫度を増す東アジア情勢などの地政学的なリスクの高まりは、引き続きサイバー攻撃のアタックサーフェス(攻撃対象領域)と攻撃の手法に変化をもたらしている。改めて企業や組織が取るべき対策を具体的に示す。(2023/8/9)
海上に広がる5G【第4回】
「5G」でしか成し得なかった“これだけの便利機能”
フェリー事業者TDSFが船舶に5Gを導入することで得たメリットは、映像伝送だけではない。さまざまなサービスの提供や、安全につながるセンサーの導入が可能になった。具体的に紹介する。(2023/7/26)
海上に広がる5G【第3回】
1日で「Netflix映画」100本分の映像を処理するネットワークとは?
船舶の乗客と従業員の安全を確保するためには、映像による監視システムが必要になる。そのシステムを維持するため、オーストラリアのフェリー事業者は5Gを導入した。(2023/7/19)
海上に広がる5G【第2回】
5Gに乗り換えたフェリー会社が「4Gでは耐え切れない」と判断した理由は?
フェリー事業者TDSFは、乗客の安全を守るため、船舶と外部とが通信可能なカメラを複数設置している。そのためのネットワークに、同社は4Gではなく5Gを選んだ。その理由とは。(2023/7/12)
海上に広がる5G【第1回】
フェリー客の安全確保に4Gではなく「5G」が不可欠だった“必然の理由”
オーストラリアの大手フェリー事業者が5Gの導入に踏み切った。乗客と船員の安全を守るために、強靭(きょうじん)なネットワークが必要だと判断したためだ。なぜ5Gが必須だったのか。(2023/7/5)
“そうはならんやろコード”はなぜ生まれるのか セキュリティ専門家・徳丸氏に聞く「脆弱性だらけのWebアプリ」の背景
情報セキュリティ事案のニュースには読者から「そうはならないだろう」「それはダメだろう」という“ツッコミ”が入ることが多い。しかし、情報セキュリティの専門家・徳丸浩さんは「『これが現実なんですよ』と伝えることが大事」と語る。(2023/5/8)
情報セキュリティ企業が“脆弱性だらけのWebアプリ”無償公開 実習用の題材に
EGセキュアソリューションズが、Webアプリケーションの脆弱性について学べる実習用アプリケーション「BadTodo」を無償公開した。同アプリは多くの脆弱性を含んでおり、実際に攻撃したりソースコードを確認して実践的に学習できる。(2023/2/28)
LEGO売買サイトの脆弱性から得られる教訓【後編】
犯罪者に狙われ始めた「API」 その笑えない理由
LEGOの中古品売買サイト「BrickLink」に見つかった脆弱性は、「API」の脆弱性だった。専門家はAPIセキュリティの重要性を呼び掛けている。その背景は。(2023/2/10)
LEGO売買サイトの脆弱性から得られる教訓【前編】
LEGO売買サイト「BrickLink」に潜んでいた“危険な脆弱性”とは何だったのか
セキュリティ専門家が、LEGOの中古品売買サイト「BrickLink」に脆弱性を発見した。見つかったのは2つの脆弱性だ。どのような脆弱性だったのか。発見に至ったいきさつとは。(2023/2/2)
産業制御システムのセキュリティ:
国際協力で制御システムを守れ――「サイバーセキュリティウィーク」レポート
経済産業省とIPA ICSCoEは2022年10月24〜28日に、「インド太平洋地域向け日米EU産業制御システムサイバーセキュリティウィーク(サイバーセキュリティウィーク)」を開催。オンラインセミナーを通して日米欧の取り組みや政策動向を紹介した他、ICSCoEでシミュレーターを用いたハンズオン演習も行われた。(2022/12/12)
NEWS
大塚商会、安全なテレワークを支援する「i-FILTER@Cloud運用支援サービス」を提供開始
テレワークの普及に伴い重要性が増すセキュリティ対策。大塚商会がデジタルアーツの「ホワイト運用」とタッグを組み、安全なインターネットアクセスを支援する「i-FILTER@Cloud運用支援サービス」を発表した。(2022/12/9)
「見えないWeb攻撃」──情報漏えい対策の盲点:
変わり始めるWeb攻撃 背景に潜むウクライナ侵攻と”ハイブリッド戦”の影
ハイブリッド戦の影響が世界に波及する中で、サイバー空間でいま何が起きているのか。緊張の高まる台湾およびアジアの情勢を前に、民間企業はどう備えるべきか。変わりつつあるWeb攻撃の傾向などを基に、浮かび上がったハイブリッド戦の影について考察する。(2022/8/30)
教えて、キラキラお兄さん:
院卒、米国帰りのエリートは悩みや挫折なんて無縁でしょ?
常に優秀なエンジニアたちに囲まれ、「底辺をはいつくばるような」気持ちでマルウェア解析に取り組んできた男が誇れるのは、「粘り強くものを追い続ける姿勢」だった。(2022/8/1)
サイバーセキュリティのプロに聞く:
情報漏洩を半年後に公表 「スイパラ」に批判の声 どこで対応を誤ったのか
飲食店「スイーツパラダイス」を運営する井上商事(大阪市北区)は6月7日、同社通販サイトが第三者から不正アクセスを受け、顧客7409人分のクレジットカード情報が流出した可能性があると発表した。自体の把握から約半年後の公表となったことに、利用客からは批判の声があがる。(2022/6/9)
PR:Webセキュリティを手間なく堅牢に――「WAF」導入後の面倒を避けるコツ “誤検知”を減らす選定ポイントは?
(2022/5/27)
「見えないWeb攻撃」──情報漏えい対策の盲点:
セキュリティベンダーはLog4j脆弱性攻撃にどう対応したか 舞台裏からゼロデイ攻撃対策を再考する
2021年末に発見された「Apache Log4j」の脆弱性。この脆弱性を悪用する攻撃に対峙したセキュリティベンダーは、どんな対処を取ったのか。実際の対応を参考に、ゼロデイ攻撃への対策を考える。(2022/4/20)
PCI DSS v4.0、Cookie規制対応、SEO、カードスキミング対策……:
PR:小売り、EC担当者がいま押さえるべき「勝ち抜くサイト運営」の最新常識まとめ
多くの顧客を呼び込み、快適で安心して利用できるECサイトを運営するには、最新のサービス配信基盤やセキュリティを含む技術動向、業界標準やルール改定への理解が必要だ。いまECサイト担当者が知るべきトピックと事例を見ていく。(2022/4/6)
セキュリティ人材不足の企業が安全を「保ち続ける」には:
PR:100以上のWebサイトの脆弱性と改ざんを可視化し、リスクを手軽に排除する方法
Webサイトはエンドユーザーとの接点として重要な役割を果たす。複数のWebサイトを運用する企業が自社サイトのリスクを発見してセキュリティを継続的に確保する方法とは。(2022/3/22)
PR:世界が震撼したLog4jの脆弱性 脚光を浴びたWebセキュリティ対策「WAF」の真価 “現場の負荷”を減らす切り札か?
(2022/3/7)
URL入力で「Log4j」脆弱性診断 ツール試用版を無償提供 セキュアブレイン
昨年末から話題の「Log4j」の脆弱性が自社サイトにあるか調べられる診断サービスの試用版を、セキュアブレインが無償提供。(2022/1/21)
「見えないWeb攻撃」──情報漏えい対策の盲点:
主戦場はWebブラウザ 忍び寄る「見えないクライアントサイド攻撃」の実態
アンチウイルスソフトの検知をかいくぐり、Webブラウザに不正なスクリプトを埋め込む「クライアントサイド攻撃」。セキュリティ管理者も見落としがちなこの攻撃の実態を、アカマイ・テクノロジーズの中西一博さんが解説する。(2021/12/27)
2021年、企業が無償公開した新人エンジニア向け研修資料 機械学習やゲーム開発、AWS入門、数学などさまざま
2021年も、さまざまな企業が自社の社内研修資料を無償公開したことが話題になった。2021年に無償公開した、企業の社内研修資料を取り上げた記事を紹介する。(2021/12/24)
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Javaで使われるログ出力ライブラリ「Apache Log4j」に特定の文字列を送ることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが分かった。Java開発製品の広範囲に影響するとみられる。(2021/12/10)
PR:情報セキュリティのオーケストレーションベンダー、シマンテックにゼロトラストやSASEの最新情報を聞いてみた
(2021/10/21)
VMwareが「VMware Cross-Cloud Services」発表、クラウド移行やエッジ移行を支援するツールも用意
VMwareは「VMware Cross-Cloud Services」の提供を開始する。企業アプリケーションのクラウド移行を支援するVMware Cloudの拡張機能と、企業のエッジ移行を支援する「VMware Edge」も発表した。(2021/10/7)
「見えないWeb攻撃」──情報漏えい対策の盲点:
相次ぐ漏えい事件、本格的に狙われ出したSaaSベンダー 見過ごされてきた“死角”への対策は
クラウド化の波やコロナ禍の影響により、Webベースの業務アプリケーションが普及したため、悪意を持った第三者にとっては攻撃しやすい状況にある。今回は、最近漏えい事件が相次いでいる「業務アプリ」に焦点を当て、Webセキュリティを解説する。(2021/10/1)
「現場に負担を掛けないセキュリティ対策」とは:
PR:どうしても“PPAP”をやめられない企業が採るべき現実的な代替策
電子メールのセキュリティ対策として長く利用されてきた「PPAP」には問題が多く、脱却が必要だとされる。しかし、さまざまな事情から継続せざるを得ない企業もある。どうすれば脱PPAPができるのか。企業が採るべき“現実的な代替策”とは。(2021/9/30)
14時間分の機械学習教材も GMOペパボ、エンジニアの研修資料を公開
GMOペパボが、新人エンジニアの研修資料を今年も無償公開。今年は機械学習教材を一新した。(2021/9/22)
徳丸 浩氏に聞く「サイバー局」創設の意義とは 国内セキュリティ事情から考える
中国やロシアといった国家を後ろ盾に、ボーダーレスなサイバー攻撃が盛んになってきている今、これらの攻撃に対抗するため警察庁は2022年度に「サイバー局」を新設する構想を明らかにした。その意義とはどのようなものか。Webセキュリティ専門家の徳丸氏に聞いてみた。(2021/8/6)
ワクチン予約サイトのアクセス集中、特効薬は“仮想待合室”の設置にあり
アクセス負荷の分散に詳しい、アカマイ・テクノロジーズの中西一博さんが、「落ちないワクチン予約サイトの作り方」を解説する。(2021/6/21)
「見えないWeb攻撃」──情報漏えい対策の盲点:
スマホアプリの“目立たぬ弱点” 分かっていても対策が難しいワケ
スマホアプリなどの隠れた弱点となっているAPIを狙う攻撃の現状と対策上の課題について、アカマイ・テクノロジーズでWebセキュリティを追う中西一博氏が解説する。(2021/5/21)
「約6割は現場に任せきり」に警鐘:
投資で分かれるセキュリティの明暗 クラウドやテレワークで被害を防ぐ「3つのポイント」は――IDC
クラウドやテレワーク導入でセキュリティIDCは国内の企業を対象にセキュリティ対策や被害の状況を調査したレポートの2021年版を公開した。IDCの専門家は、半数以上の企業がセキュリティの投資について明確に決められていない現実に警鐘を鳴らし、クラウドやテレワーク導入が進む中、適切なセキュリティ対策を展開し、被害を抑えるために必要なポイントを解説した。(2021/4/23)
人手不足は機械学習を活用した“自動化”“効率化”で解決を:
PR:「2025年の崖」を超えるためのファーストステップはツールによる開発効率の向上――テスト業務効率化の秘策とは
DXに取り組まなければ今後の企業成長は困難。しかし、人手不足も相まって現行システムのメンテナンスで手がいっぱい――そんな課題に直面している企業は少なくないはずです。解決の鍵は、AI/機械学習を活用した支援ツールを取り入れることで、“人手”を減らすことにあります。(2021/3/16)
「見えないWeb攻撃」──情報漏えい対策の盲点:
「普通の企業サイト」がいま攻撃に晒されているワケ ”見て見ぬふり”のわずかなスキに忍び寄る影
Webサーバやサービスの脆弱性を狙った、SQLインジェクションなどの一般的なWebアプリケーション攻撃は相変わらず猛威を振るっている。そしてこの背景には、闇市場で最近流通している「ある品目」が関係していそうなことが見えてきた。(2021/3/15)
「見えないWeb攻撃」──情報漏えい対策の盲点:
コロナ禍で増加する不正ログイン 2021年に狙われる業界は?
2020年に公表されたサイバー被害の傾向などから、世界と国内で起きたWeb攻撃からその背景や狙いを読み取り、2021年に取るべき重点対策を考えていく。今回は、その中でも昨年顕著な伸びを見せた、成り済ましによる不正ログイン攻撃について取り上げる。(2021/2/4)
ポストcookie時代のマーケティング戦略【後編】
個人情報不要の「コンテキストターゲティング」はデジタル広告を変えるか
サードパーティーcookieの利用が制限されたら、どのようにして広告をパーソナライズすればいいのか。主要な5つの代替策のうち3つを紹介する。(2021/2/1)
「混合コンテンツ」による問題の回避策
「Chromeをアップデートしないで」――Salesforce“異例のお願い”の真相
Webブラウザ「Chrome」で発生する問題の回避策として、Salesforceが示した手段は非難を浴びた。それは「Chromeのアップデート適用を見送ること」だ。Salesforceはなぜ“異例の助言”をしたのか。その後の行動は。(2021/1/18)
ポストcookie時代のマーケティング戦略【中編】
「ファーストパーティーデータ」はターゲティング広告に使えるか
企業は広告をパーソナライズする手段としてサードパーティーcookieを利用できなくなったら、他にどのような代替手段を持ち得るのか。主要な5つの代替策のうち、2つを紹介する。(2021/1/5)
ポストcookie時代のマーケティング戦略【前編】
いまさら聞けない「cookieによるトラッキング」の基礎 なぜ制限されるのか?
サードパーティーcookieなしで顧客を追跡するのは心もとない――。そう考える企業は、サードパーティーcookieに代わる選択肢を考えなければならない。(2020/12/22)
検知、対応を含めセキュリティ対策を迅速化:
PR:コスト削減とセキュリティの強化を実現、住友生命が採用したマネージドWAFとは
ITを活用してお客さまに安心や満足できるサービスを提供するため、デジタル化を加速させている住友生命。同社は、IT運用とセキュリティを強化しながら、運用管理の負荷やコストの大幅削減に成功した。そのポイントはどこにあるのだろうか。(2020/11/12)
「見えないWeb攻撃」──情報漏えい対策の盲点:
不正送金問題で暗躍する「不正ログインbot」 大量にアクセスされても“見えない”理由
ドコモ口座やゆうちょ銀行などを巻き込んだ不正送金事件。事件の手口には未だ謎が残っており、単純な話では終わらなさそうだ。今回は「見えない不正ログイン」という観点から、こうした犯行の手法や、事件を取り巻く背景を改めて考察してみたい。(2020/10/21)